Qnap hat teils kritische Lücken in seinen Betriebssystemen geschlossen

Qnap hat am Wochenende Warnungen vor teils kritischen Sicherheitslücken in den Betriebssystemen QTS, QuTS Hero und QuTScloud veröffentlicht. Angreifer könnten demnach verwundbare Systeme aus dem Netz heraus komromittieren. Aber auch in Zusatz-Software klaffen Sicherheitslecks.

Insgesamt fünf Sicherheitsmitteilungen hat Qnap herausgegeben. Die Gravierendste umfasst drei Schwachstellen in den NAS-Betriebssystemen. Eine unangemessene Authentifizierung erlaubt Angreifern aus dem Netz, Systeme zu kompromittieren (CVE-2024-21899, CVSS 9.8, Risiko "kritisch"). Angemeldete Administratoren können in myQNAPcloud Schadcode durch eine SQL-Injection-Lücke einschleusen (CVE-2024-21901, CVSS 4.7, mittel) und authentifizierte Nutzer können Befehle über das Netz ausführen (CVE-2024-21900, CVSS 4.3, mittel).

Mehrere Qnap-Betriebssystem-Sicherheitswarnungen

Eine weitere Warnung vom Wochenende betrifft dieselben Betriebssysteme. Angemeldete Administratoren können über das Netz Befehle in das Betriebssystem einschleusen – die Bewertung von CVE-2023-34975 sieht Qnap mit CVSS 6.6 als mittleres Risiko, während das NIST mit CVSS 8.8 ein kritisches Risiko als nur knapp verfehlt erachtet und die Bedrohung als hoch einstuft. Eine zweite gleichartige Schwachstelle erreicht einen etwas niedrigeren CVSS-Wert (CVE-2023-34980, CVSS 5.9, mittel).

Zudem gibt es eine Cross-Site-Scripting-Lücke in Network und Virtual Switch von QTS, QuTS Hero und QuTScloud (CVE-2023-32969, CVSS 4.9, mittel). Mehrere Schwachstellen meldet Qnap zudem in der App QuMagie Mobile for Android in der Komponente jackson-databind. Außerdem ermöglicht eine Path-Traversal-Schwachstelle in Photo Station, dass authentifizierte Administratoren unbefugt auf Dateien oder sensible Informationen zugreifen können (CVE-2023-47221, CVSS 5.3, mittel).

Aktualisierte Firmware steht seit dem Ende des vergangenen Jahres bereit, die die erst jetzt gemeldeten Sicherheitslücken abdichtet. Qnap-Besitzer sollten sicherstellen, mindestens die Versionsstände

• QTS 5.1.4.2596 Build 20231128
• QTS 5.1.3.2578 Build 20231110
• QTS 4.5.4.2627 Build 20231225
• QuTS Hero h5.1.4.2596 Build 20231128
• QuTS Hero h5.1.3.2578 Build 20231110
• QuTS Hero h4.5.4.2626 Build 20231225
• QuTScloud c5.1.5.2651
• QuTScloud c5.1.0.2498 Build 20230822
• myQNAPcloud 1.0.52 (2023/11/24)
• Photo Station 6.4.2 (2023/12/15)
• QuMagie Mobile 2.2.0.0126 für Android

oder neuere Fassungen auf ihren Geräten einzusetzen.

Vor rund einem Monat hatte Qnap ebenfalls mehrere Sicherheitslücken in den NAS-Betriebssystemen QTS, QuTS Hero und QuTScloud geschlossen. Sie erlaubten das Einschmuggeln von Befehlen über das Netzwerk.

(dmk)